IT-Sicherheit - Sicherheitsrisiken des BYOD Konzeptes und alternative Methoden

Inhaltsverzeichnis

Anmerkung - Internetquellen

1. Einleitung

2. Mobile Device Management
2.1 Mindeststandards des BSI für Mobile Device Management

3. Bring Your Own Device
3.1 Begriffserkläru ng
3.2 Chancen

4. Risiken
4.1 Datendiebstahl
4.2 Menschliches Versagen/Eigenverantwortung
4.3 Malware
4.4 Big Brother
4.5 Schlechtes Management

5. BYOD Richtlinie
5.1 Rechtliche Grundlagen

6. Alternative Methoden
6.1 COPE - Corporate Owned, Personally Enabled
6.2 CYOD - Choose Your Own Device
6.3 COBO - Corporate Owned, Business Only

7. BYOD und andere Methoden in Schulen

8. Fazit

Quellen

Anmerkung - Internetquellen

Aufgrund der Aktualität und Kategorie des Themas wird in dieser Hausarbeit überwiegend auf Internetquellen verwiesen. Dies liegt unteranderem daran, dass die meisten Artikel zur Thematik ausschließlich online veröffentlich werden und auch da es wenig Fachliteratur gibt, die sich konkret auf das Konzept bezieht.

1. Einleitung

Durch die Corona Pandemie der letzten Jahre rückte zwangsweise die Bereitstellung von Home­Office immer weiter in den Vordergrund. Niemand konnte mit der rasanten Entwicklung der Pandemie rechnen, weshalb schnelle Entscheidungen getroffen werden mussten. Oftmals war es nicht möglich, alle Mitarbeiter mit entsprechender Hardware für die kurzfristige Arbeit im Home­Office auszustatten.

So rückte auch BYOD immer weiter in den Vordergrund. Dieses Konzept ermöglicht den Mitarbeiter eines Unternehmens ihre privaten Endgeräte im beruflichen Kontext zu nutzen und auf interne Ressourcen zuzugreifen. Laut einer statistischen Auswertung von Mordor Intelligence in 2020 implementierten rund 85% der befragten Unternehmen BYOD Richtlinien aufgrund der Pandemie.[1]

[Die Abbildung ist aus urheberrechtlichen Gründen nicht im Lieferumfang enthalten.]

Der Trend der Nutzung eigener Geräte im beruflichen Umfeld startet aber bereits viel früher. 2013 war das Thema BYOD auf Platz 5 der wichtigsten IT-Trends.[2] Seitdem im Jahr 2007 das erste iPhone vorgestellt wurde, entwickelten sich Smartphones immer mehr zum täglichen Begleiter. In Deutschland besaßen im Jahr 2021 75.2% der Einwohner ein Smartphone.[3] Weltweit sind es sogar rund 83.72% der Population.[4]

[Die Abbildung ist aus urheberrechtlichen Gründen nicht im Lieferumfang enthalten.]

BYOD bietet Unternehmen und Mitarbeiter einige Vorteile, die aus der modernen Arbeitswelt bald nicht mehr wegzudenken sein werden. Diese Hausarbeit soll einen Überblick über das BYOD-Konzept geben und sowohl Chancen als auch Sicherheitsrisiken beleuchten. Zusätzlich werden alternative Methoden des Mobile Device Management im Vergleich zu BYOD herangezogen. Anschließend wird die BYOD Thematik anhand der steigenden iPad und Smartphone Nutzung in Schulen erläutert.

2. Mobile Device Management

Der Begriff des Mobile Device Management bezeichnet die Verwaltung mobiler Endgeräte und umfasst sowohl die Erfassung (Initialisierung) als auch die Definition von Geräterichtlinien. Durch MDM Software werden die privaten Geräte der Mitarbeiter sicher in das Unternehmensnetzwerk eingebunden. So können diese Geräte vom Unternehmen überwacht, verwaltet und auch mit Updates versehen werden. Durch Sicherheitspolicies muss eine Trennung von beruflicher und privater Nutzung sichergestellt werden, damit sich diese Kontrolle nicht auf private Daten der Mitarbeiter ausweitet.[5]

[Die Abbildung ist aus urheberrechtlichen Gründen nicht im Lieferumfang enthalten.]

Grundsätzlich wird auf dem Endgerät eine spezielle Software oder Anwendung benötigt, welche dann mit einem zentralen Server kommuniziert und von diesem die entsprechenden Konfigurationsbefehle erhält. Der Zugriff des Servers auf das Endgerät kann beispielsweise auch durch QR Codes, Bestätigungs-E-Mails oder SMS erfolgen.

2.1 Mindeststandards des BSI für Mobile Device Management

Um sowohl Missbrauch vorzubeugen als auch Datensicherheit auf Unternehmensseite zu gewährleisten, muss das MDM sich an spezifische Sicherheitsanforderungen halten.

Für Anwendungen, die beispielsweise in einer Stelle des Bundes eingesetzt werden, hat das Bundesamt für Sicherheit in der Informationstechnik den Mindeststandard formuliert, welcher sowohl organisatorische als auch technische Maßnahmen beinhaltet.[6]

Zwar richtet sich der Mindeststandard direkt an IT-Verantwortliche des Bundes, kann aber auch von Außenstehenden und MDM-Anbietern herangezogen werden, zum Abgleich und der Verbesserung ihrer eigenen Richtlinien.

Unter die funktionalen Sicherheitsanforderungen an das MDM fallen beispielsweise die Sicherstellung der Nutzdaten. So dürfen Identitätsmerkmale, PINs und ähnliches nicht außerhalb der IT-Infrastruktur des Betreibers geraten.

Zuvor wurde bereits erwähnt, dass sich zur zentralen Verwaltung eine Anwendung auf dem Endgerät befinden muss. Das BSI legt fest, dass diese nicht durch den Benutzer deinstalliert werden darf.

Alle Konfigurationsänderungen sowie der gesamte Lebenszyklus des mobilen Endgerätes müssen ausführlich protokolliert sein. Auf dieses Protokoll muss der Administrator zentralen Zugriff haben, unbefugte Personen hingegen dürfen die erhobenen Daten nicht einsehen.

Auch das MDM selbst muss vollständig dokumentiert sein und die Sicherheitseinstellungen regelmäßig überprüft und aktualisiert werden.

3. Bring Your Own Device

3.1 Begriffserklärung

BYOD bezeichnet einen aufsteigenden Trend des letzten Jahrzehnts, bei dem Mitarbeiter eines Unternehmens ihre privaten Endgeräte im beruflichen Kontext nutzen und diese in vorhandene Firmennetzwerke integrieren.

Übersetzt ins Deutsche bedeutet BYOD “Bring dein eigenes Gerät mit”, womit nicht nur Laptops und PCs gemeint sind, sondern auch mobile Geräte wie Smartphones und Tablets.

3.2 Chancen

Die Integrierung privater Geräte in den beruflichen Kontext kann das Arbeitsleben auf beiden Seiten sehr erleichtern.

Auch ohne die Bereitstellung eines Smartphones von Seiten der Firma erwarten 61% der Betriebe, dass ihre Mitarbeiter auch aus der Entfernung erreichbar sind.[7] Durch die Nutzung der privaten Smartphones auch für berufliche Gespräche wird allgemein für eine bessere Erreichbarkeit der Mitarbeiter gesorgt, wodurch Kommunikation und Zufriedenheit auf beiden Seiten steigen.

Da sowohl von Seiten des Betriebs aus auf die arbeitsspezifischen Daten des Endgeräts als auch vom Beschäftigten auf die Unternehmensressourcen zugegriffen werden kann, steigt die Flexibilität. Der Zugriff wird so nicht durch den Standort der betreffenden Personen eingeschränkt und lässt sich jederzeit ohne Probleme regeln. Besonders jüngere Mitarbeiter legen heutzutage viel Wert auf Flexibilität und die Arbeit im Homeoffice. So glauben 69% der sogenannten Millennial-Generation (geb. 1981-1995), dass die regelmäßige Anwesenheit im Büro nicht nötig sei.[8]

Die Motivation der Mitarbeiter wird zusätzlich dadurch gesteigert, dass lange und mühsame Einarbeitungszeiten in die Firmensoft- und Hardware entfallen. Üblicherweise sind die Beschäftigten mit dem Umgang mit ihren persönlichen Geräten vertraut und können diese auch spezifisch auf das berufliche Umfeld anpassen.

[Die Abbildung ist aus urheberrechtlichen Gründen nicht im Lieferumfang enthalten.]

Motivierte Mitarbeiter steigern im Umkehrschluss auch die Produktivität. Eine BYOD Studie zeigte, dass MitarbeiterInnen direkt mit der Bearbeitung einer Aufgabe beginnen, sobald sie diese bekommen.[10] So sind 49% der Mitarbeiter auch produktiver, wenn sie ihr privates mobiles Endgerät nutzen dürfen, mit dem sie vertraut sind und dass sie auch in ihrer Freizeit verwenden.[11] Das Smartphone ist aus dem alltäglichen Gebrauch kaum noch wegzudenken. Ob für berufliches oder privates, es kann uns bei fast allem behilflich sein und es gibt nur wenige Einschränkungen im Vergleich zu anderen Geräten. Die allgemeine Nutzung eines Smartphones steigert die Produktivität bereits um 34%.[12]

Im Home-Office können sich Beschäftigte ihre Arbeit und Zeit sehr flexibel einteilen. Dies führt jedoch nicht zu einer geringeren Produktivität, obwohl es Verantwortung und Disziplin voraussetzt. Mitarbeiter die rund 60-80% ihrer Arbeitszeit im Homeoffice arbeiten sind im Schnitt produktiver an ihren Arbeitstagen als jene, die hauptsächlich im Büro arbeiten.[13]

Ein weiterer Vorteil, der vor allem aus Seiten des Betriebs nicht außen vorgelassen werden sollte, ist die Ersparnis von Kosten durch die Verwendung privater Endgeräte. So fallen zum Beispiel zusätzliche Kosten für Firmenhardware und Software-Lizenzen weg: Firmen, die eine BYOD-Policy verfolgen sparen rund $350 pro Mitarbeiter im Jahr.[14]

4. Risiken

Neben diesen Vorteilen im modernen Arbeitsumfeld ist die Vernetzung privater Endgeräte mit Unternehmensressourcen auch mit einigen Risiken verbunden, auf die ich in diesem Kapitel genauer eingehen werden.

BYOD security concerns

Abbildung in dieser Leseprobe nicht enthalten

4.1 Datendiebstahl

Eine der größten Ängste von Unternehmen stellt Datendiebstahl dar (63%). Die sensitiven Daten des Unternehmens sowie private kundenbezogene Daten befinden sich durch Verwendung des BYOD- Konzeptes nicht mehr nur noch auf firmeninternen Geräten, sondern auch auf den privaten Geräten der Mitarbeiter. Somit bewegen sie sich überall und sind dadurch deutlich anfälliger für Hacker­Angriffe. Menschliches Versagen spielt auch hier eine große Rolle, da mit den Daten und privaten Geräten entsprechend umgegangen werden muss, um das Risiko für Datendiebstahl zu verringern.

Wenn von Seiten der Firma keine entsprechenden Sicherheitsvorkehrungen, wie zum Beispiel ein zentrales Mobile Device Management und die Verschlüsselung wichtiger Daten, getroffen werden, sind diese Daten in recht großer Gefahr, da die Beschäftigten selbst sich häufig nicht mit entsprechender Sicherheit auskennen oder fahrlässig handeln. Auch muss ständig dafür gesorgt werden, dass der Zugriff und die Mitarbeiteraccounts aktuell sind. Wenn ein Mitarbeiter die Firma verlässt und sich nicht darum gekümmert wird, dass sein privates Gerät aus dem firmeninternen Netzwerk genommen und alle Daten sowie Zugriffe entfernt werden, stellt dieses Gerät weiterhin ein großes Sicherheitsrisiko dar, obwohl der Mitarbeiter nicht mehr in der Firma angestellt ist.

[...]